De NIS2 richtlijn van kracht: wat nu?
De Europese Unie heeft in oktober 2022 de nieuwe richtlijn voor de beveiliging van Netwerk- en Informatiesystemen (NIS2) aangenomen. Deze richtlijn is bedoeld om de beveiliging van vitale infrastructuren en digitale diensten in de EU te verbeteren.
Wat is NIS2? Waar dien je als organisatie rekening mee te houden? En wat zijn de risico’s bij het niet navolgen van de NIS2? Daarin nemen we je mee in deze blog.
NIS2, een uitbreiding op NIS1
De afgelopen jaren zijn de cyberdreigingen aanzienlijk toegenomen. Daarnaast is onze samenleving steeds vaker afhankelijk van digitale infrastructuur. De Europese Commissie constateerde dat er nog veel onduidelijkheid is op het gebied van informatiebeveiliging: aan welke maatregelen dienen organisaties te voldoen, wie is er verantwoordelijk, wat is het toepassingsgebied en hoe wordt er gehandhaafd?
Tijd voor een nieuwe maatregel die alles scherp stelt. De NIS2 is een opvolger van de NIS1. Die laatste is sinds 2016 van kracht en in Nederland vastgelegd in de Wet beveiliging netwerk en informatiesystemen (Wbn).
Hoewel er gelijkenissen zijn tussen de NIS1 en NIS2, kent de NIS2 een veel grotere impact dan zijn voorganger. Dit komt onder andere doordat de NIS2 van toepassing is op meer sectoren, de beveiligingseisen uitgebreid zijn en het management meer betrokken wordt bij beveiliging van netwerk en informatiesystemen.
De wijzigingen in hoofdlijnen zijn:
- De nieuwe wetgeving is van toepassing op meer sectoren
- Beveiligingseisen zijn uitgebreid
- Managers en Raden van bestuur worden meer betrokken en kunnen verantwoordelijk én aansprakelijk gesteld worden
- Sancties en toezichtbevoegdheden van bevoegde autoriteiten zijn aangescherpt
- Het niet naleven van de NIS-richtlijn kan leiden tot boetes en straffen
- Verplichtingen inzake de melding van incidenten zijn verduidelijkt
- De beveiliging van de keten waar de organisatie deel van uitmaakt, krijgt meer aandacht
NIS2 enkel van toepassing op de vitale sector?
De NIS2 regelgeving is niet van toepassing voor alle bedrijven en organisaties, maar beperkt zich tot de vitale sector. Tot deze sector behoren organisaties en bedrijven die een cruciale rol spelen in onze samenleving, dus het belang van de NIS2 regelgeving is erg groot.
Organisaties die behoren tot de vitale sector zijn:
- Energie
- Vervoer
- Bankwezen
- Infrastructuur van financiële markten
- Gezondheidszorg (inclusief laboratoria, onderzoek en medische apparatuur)
- Drinkwater en afvalwater
- Digitale infrastructuur
- Digitale diensten
- Ruimtevaart
- Post- en koeriersdiensten
- Afvalbeheer
- Chemie
- Levensmiddelen
- Industrie (voornamelijk medische, computer- en transportapparatuur)
Belangrijk om rekening mee te houden is dat de NIS2 richtlijn niet uitsluitend geldt voor deze organisaties, maar ook voor de gehele keten van deze organisaties. De regelgeving geldt zodoende ook voor partners, toeleveranciers en serviceproviders van die vitale sector.
Het is belangrijk dat iedereen in de gehele keten zijn verantwoordelijkheden begrijpt en de nodige maatregelen treft om de veiligheid van de vitale sector hoog te houden. De ketting is namelijk zo sterk als de zwakste schakel.
Van risicoscan tot encryptie: welke maatregelen dien je te overwegen?
In de essentie dienen organisaties die onder de NIS2-richtlijn vallen hun netwerk- en informatiesystemen te beveiligen tegen cyberaanvallen en andere beveiligingsrisico’s. Daarbij dienen ze allereerst hun netwerk- en informatiesystemen te identificeren en te evalueren. Zo bepaal je welke systemen kritiek zijn en waar extra beveiliging nodig is. Vervolgens worden op basis van deze risicoanalyse passende beveiligingsmaatregelen getroffen. Ook dient het management goed op de hoogte te zijn van de aansprakelijkheid en de bijkomende verantwoordelijkheden. Tenslotte dienen organisaties de veiligheid op lange termijn te waarborgen en op regelmatige basis de risicobeoordeling uit te voeren.
Een overzicht van een aantal maatregelen die organisaties kunnen treffen, weergegeven in de NIS2 artikel 18 lid 2:
- Incidentenbehandeling
- Bedrijfscontinuïteit en crisisbeheer
- De beveiliging van de toeleveringsketen
- Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen
- Beleid en procedures (pentesten en audits) om de effectiviteit van maatregelen voor het beheer van cyber beveiligingsrisico’s te beoordelen
- Het gebruik van cryptografie en encryptie
Wie is waar verantwoordelijk voor?
De meeste organisaties hebben een functionaris die informatiebeveiliging als rol heeft; de Security Officer of CISO. Gezien zijn of haar kennis over deze materie ligt het voor de hand om het uitvoeren van deze maatregelen bij deze persoon neer te leggen.
Toch ligt de eindverantwoordelijkheid bij het management en het bestuur. Zij zijn verantwoordelijk voor het waarborgen van de naleving van de richtlijnen en het implementeren van passende beveiligingsmaatregelen binnen de organisatie. Daarbij dienen ze een effectieve governancestructuur te ontwikkelen en de juiste processen en middelen voor digitale veiligheid beschikbaar te maken.
Bovenal gaat informatiebeveiliging en privacy alle medewerkers aan. Beleg dus eigenaarschap voor risico’s en beheersmaatregelen daar waar het thuis hoort en zorg ervoor dat iedereen binnen de organisatie beschikt over de nodige kennis van cyberbeveiliging passend bij zijn of haar rol.
Het niet naleven van de NIS2 kent grote gevolgen
Het niet naleven van de NIS2 kan leiden tot boetes, sancties én imagoschade. De precieze sancties voor een directielid en/of eindverantwoordelijke die de wet niet naleeft, hangen af van de situatie, van specifieke bepalingen en de nationale wetgeving van de lidstaat waar het bedrijf is gevestigd.
Een juridische game changer bij de NIS2 is dat deze regelgeving nu ook verantwoordelijken aansprakelijk kan stellen in geval van grove nalatigheid. Denk hierbij aan managementposities of bestuurders. Ook klanten of partners kunnen eenvoudiger juridische stappen ondernemen.
Verder spreekt het voor zich dat het niet naleven van de NIS2 een negatief effect heeft op het imago van de organisatie. Je wilt natuurlijk niet bekendstaan als een organisatie die informatiebeveiliging niet serieus neemt.
Van regelgeving naar praktijk, onze concrete handvatten helpen je op weg
Wat je precies dient in te richten aan maatregelen is niet altijd duidelijk. Op basis van jouw risicoanalyse dien je ‘passende maatregelen’ te treffen. Maar wat is passend? En hoe voorkom je dat je zaken over het hoofd ziet en alsnog juridische gevolgen oploopt?
NIS2 van regelgeving naar praktijk. 3 gerenommeerde cyber security partijen bieden je concrete handvatten aan bij het voldoen aan de NIS2 richtlijnen. Brand Compliance, Hacksclusive en Perium hebben tijdens een webinar op 8 juni 2023 hun kennis gedeeld over security governance en periodiek pentesten als maatregelen bij een coherente NIS2 aanpak.